用户、用户组和命令策略
您必须首先使用帐户定义用户,然后将所有用户组织到组中。您可以创建命令策略,或使用内置命令策略来规范用户对命令的访问权限。
注意:如果您希望了解有关配置用户和用户组的更多信息,作为流量管理的Citrix ADC身份验证和授权设置的一部分,请参阅配置用户和组主题。
您还可以为用户自定义命令行提示符。提示可以在用户的配置、用户组配置和全局系统配置设置中定义。为用户显示的提示按以下优先顺序排列:
- 显示用户配置中定义的提示。
- 显示用户组的组配置中定义的提示。
- 显示系统全局配置设置中定义的提示。
“”“”“”“”“”思杰(Citrix) ADC:超时可以在用户配置、用户组配置或全局系统配置设置中定义。“”“”“”“”“”“”“”“”
- 用户配置。
- 用户组的组配置。
- 全局系统配置设置。
思杰(Citrix) ADC通过限制限制,您可以减少打开的连接数量并提高服务器性能。齐格,齐格,齐格,齐格,齐格,齐格。“”,“”,“”,“”。例如,如果并发会话数配置为20,则并发用户可以登录19个CLI会话。但是,如果用户登录到20 <一口> th > < /晚餐CLI会话,任何尝试登录到GUI, CLI或硝基都会导致错误消息(错误:超出到CFE的连接限制)。
注意: 默认情况下,并发会话的数量配置为 20,并发会话的最大数量配置为 40。
配置用户帐户
要配置用户帐户,只需指定用户名和密码即可。您可以随时更改密码和删除用户帐户。
注意: 密码中的所有字符都不被接受。但是,如果你在引号中键入字符,它可以起作用。
此外,字符串的最大长度不得超过 127 个字符。
使用命令行界面创建用户帐户
在命令提示窗口中,键入以下命令以创建用户帐户并验证配置:
add system user[-externalAuth (ENABLED | DISABLED)] [-promptString ] [-timeout \ ] [-logging (ENABLED | DISABLED)] [-maxsession ] show system user
“英文英文”,“英文英文”,“英文英文”。Citrix ADC:笨笨笨笨,笨笨笨笨,笨笨笨笨
示例:
>添加系统用户johnd - promptstring user-%u-at-%T
输入密码:确认密码:> show system user johnd用户名:john Timeout:900超时继承自:Global外部认证:ENABLED日志记录:DISABLED客户端最大会话数:20 有关参数说明,请参阅身份验证和授权用户命令参考主题。
Citrix ADC GUI
- “嗯?”系统“>”用户管理“>”用户,陆基。
- 在详细信息窗格中,单击添加以创建系统用户。
在“创建系统组【中文译文】
- 用户名。用户组的名称。
- 好吧。“哎呀!”“哎呀!”
- 空闲会话超时(秒)。设置用户在会话超时和关闭之前可以处于非活动状态的时间量。
- 最多会话数。设置用户可以尝试的最大会话数。
- 启用日志记录权限。为用户启用日志记录权限。
- 启用外部身份验证。如果要使用外部身份验证服务器对用户进行身份验证,请选择该选项。
- 允许的管理界面。Citrix ADC。
- 命令策略。将命令策略绑定到用户组。
- 分区。将分区绑定到用户组。
- 单击创建和关闭。
配置用户组
配置用户组后,您可以轻松地向组中的所有人授予相同的访问权限。要配置组,请创建组并将用户绑定到组。您可以将每个用户帐户绑定到多个组。将用户帐户绑定到多个组可能会在应用命令策略时具有更大的灵活性。
使用命令行界面创建用户组
在命令提示窗口中,键入以下命令以创建用户组并验证配置:
添加系统组[-promptString ] [-timeout ] show system group. show system group
示例:
>添加系统组manager - promptstring组manager -at-%h
中国科学院院士
在命令提示窗口中,键入以下命令以将用户帐户绑定到组并验证配置:
bind system group-userName show system group. show system group
示例:
> bind system group Managers -userName user1
Citrix ADC GUI
- “嗯?”系统“>”用户管理“>”组,陆基。
- 在详细信息窗格中,单击添加以创建系统用户组。
在“创建系统组【中文译文】
- 组名称。用户组的名称。
- 好吧。“哎呀!”“哎呀!”
- 空闲会话超时(秒)。设置用户在会话超时和关闭之前可以处于非活动状态的时间量。
- 允许的管理界面。Citrix ADC。
- 成员。将用户帐户添加到群组。
- 命令策略。将命令策略绑定到用户组。
- 分区。将分区绑定到用户组。
- 单击创建和关闭。
注意中文名称:http://www.georg.cn/cn/添加”。“笨笨”,“笨笨”,“笨笨”,“笨笨”,“笨笨”
配置命令策略
命令策略规定允许用户和用户组使用的命令、命令组、虚拟服务器和其他实体。
设备提供一组内置命令策略,您可以配置自定义策略。要应用策略,您可以将它们绑定到用户或组。
以下是定义和应用命令策略时要牢记的要点。
- 您无法创建全局命令策略。命令策略必须直接绑定到设备上的用户和组。
- 没有关联命令策略的用户或组受默认(否认)命令策略的约束,因此,在将正确的命令策略绑定到其帐户之前,无法运行任何配置命令。
- 所有用户都继承其所属组的策略。
- 将命令策略绑定到用户帐户或组帐户时,必须为其分配优先级。这样,设备就可以确定当两个或多个冲突策略应用于同一用户或组时哪个策略具有优先级。
- 默认情况下,以下命令可供任何用户使用,并且不受您指定的任何命令的影响:
- 帮助,显示CLI属性,设置CLI提示符,清除CLI提示符,显示CLI提示,别名,取消别名,历史记录,退出,whoami,配置,设置CLI模式,取消设置CLI模式和显示CLI模式。
下表介绍了内置策略。
| 策略名称 | 允许 |
|---|---|
| 只读 | show ns runningConfig, show ns ns.conf . Citrix ADC |
| 操作符 | 只读访问和访问命令以启用和禁用服务和服务器。 |
| 网络 | show ns ns.conf,show ns runningConfig,show gslb runningConfig。 |
| 系统管理员 | (包括在Citrix ADC 12.0及更高版本)中,系统管理员低于设备上允许的访问条款低于超级用户。系统管理员用户可以执行所有 Citrix ADC 操作,但以下例外情况:无法访问 Citrix ADC 外壳,无法执行用户配置,无法执行分区配置,以及系统管理员命令策略中所述的其他一些配置。 |
| 超级用户 | 完全访问权限。nsroot |
创建自定义命令策略
对于具有维护更多自定义表达式的资源的用户,以及那些需要正则表达式提供灵活性的部署,正则表达式支持。对于大多数用户来说,内置命令策略就足够了。需要更多控制级别但不熟悉正则表达式的用户可能只想使用简单表达式(例如本节中提供的示例中的表达式)来保持策略的可读性。
使用正则表达式创建命令策略时,请记住以下事项。
- 使用正则表达式定义受命令策略影响的命令时,必须将这些命令用双引号括起来。“”“”“”“”“”“”“”“”
- “^显示*美元”。
- 我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是:
- “^ rm *美元”。
- 命令策略中使用的正则表达式不区分大小写。
下表列出了命令策略的正则表达式示例:
| 命令规范 | 匹配这些命令 |
|---|---|
| “^ rm \ s + *美元”。 | 所有移除操作,因为所有删除操作都以rm字符串开头,然后是空格和更多参数,例如命令组,命令对象类型和参数。 |
| “^显示\ s + *美元”。 | 所有显示命令,因为所有显示操作都以显示字符串开头,然后是空格和更多参数,例如命令组,命令对象类型和参数。 |
| “^壳牌美元” | (。 |
| “^ \ s + vserver \ s + . * $” | 所有创建虚拟服务器操作,其中包括添加虚拟服务器命令,后跟空格以及更多参数(如命令组、命令对象类型和参数)。 |
| “^ \ s +(磅\ s + vserver) \ s + *”。 | 所有创建磅虚拟服务器操作,其中包括加磅虚拟服务器命令后跟空格以及更多参数(如命令组,命令对象类型和参数)。 |
有关内置命令策略的信息,请参阅表格内置命令策略表。
使用命令行界面创建命令策略
在命令提示窗口中,键入以下命令以创建命令策略并验证配置:
add system cmdPolicyshow system cmdPolicy
示例:
添加系统cmdPolicy USER-POLICY允许(\ server\)|(\ service(Group)*\)|(\ vserver\)|(\ policy\)|(\ policylabel\)|(\ limitdentifier \)|(^show\ (?!)(系统| ns \ (ns.conf | runningConfig)))) |(拯救)|(统计\。*服务公司)
Citrix ADC GUI
- “嗯?”系统“>”用户管理“>”命令策略”。
- 在详细信息窗格中,单击添加以创建新的命令策略。
在“配置命令策略【中文译文】
- 策略名称
- 操作
- 命令规格。
- 单击好吧(确定)。
将命令策略绑定到用户帐户和用户组
定义了命令策略后,必须将它们绑定到相应的用户帐户和组。绑定策略时,必须为其分配优先级,以便设备可以确定在两个或多个适用的命令策略发生冲突时遵循的命令策略。
命令策略按以下顺序进行评估:
- 直接绑定到用户和相应组的命令策略将根据优先级编号进行评估。优先级较低的命令策略先评估优先级较高的命令策略。因此,编号较低的命令策略显式授予或拒绝的任何特权都不会被较高的命令策略覆盖。
- 当两个命令策略(一个绑定到用户帐户,另一个绑定到组)具有相同的优先级号时,首先评估直接绑定到用户帐户的命令策略。
使用命令行界面将命令策略绑定到用户
在命令提示窗口中,键入以下命令以将命令策略绑定到用户并验证配置:
bind system user-policyName show system user
示例:
>绑定系统用户user1 -policyName read_all
齐杰(Citrix) ADC GUI
“嗯?”系统“>”用户管理“>”,“笨笨”,“笨笨”,“笨笨”。
或者,您可以修改默认优先级,以确保以正确的顺序评估策略。
使用命令行界面将命令策略绑定到组
在命令提示窗口中,键入以下命令以将命令策略绑定到用户组并验证配置:
bind system group-policyName show system group. show system group
示例:
> bind system group Managers -policyName read_all
思杰(Citrix) ADC GUI
“嗯?”系统“>”用户管理“>”组、“,”。
或者,您可以修改默认优先级,以确保以正确的顺序评估策略。
示例使用案例:管理制造组织中的用户帐户、用户组和命令策略
以下示例演示如何创建一组完整的用户帐户、组和命令策略,并将每个策略绑定到相应的组和用户。思杰(Citrix) ADC
约翰·多伊。它。思杰(Citrix) ADC:齐格、齐格、齐格。
玛丽亚·拉米兹。这是一个很好的例子。玛丽亚必须能够查看和修改Citrix ADC配置的所有部分,但Citrix ADC命令除外(本地策略规定必须在以nsroot身份登录时执行此命令)。
迈克尔·巴尔德罗克。这句话的意思是:Michael, Citrix, Citrix, Citrix
下表显示示示例公司的网络信息、用户帐户名称、组名称和命令策略的细目。
| 字段 | 值 | 注意 |
|---|---|---|
| 思杰ADC | ns01.example.net | 不适用 |
| 用户帐户 | 约翰,玛丽安,迈克尔 | 约翰·多伊、玛丽娅·拉米雷斯、迈克尔·巴尔德罗克、乔森·乔森。 |
| 组 | 管理人员和系统操作程序 | 这句话的意思是: |
| 命令策略 | Read_all, modify_lb, modify_all | 允许完全只读访问、允许修改访问以实现负载平衡和允许完全修改访问。 |
以下描述将引导您完成在名为ns01.example.net的Citrix ADC设备上创建一组完整的用户帐户,组和命令策略的过程。
描述包括将相应的用户帐户和组绑定到另一个,以及将适当的命令策略绑定到用户帐户和组的过程。
“”“”“”“”“”“”“”
思杰(Citrix) ADC
为示例组织配置用户帐户、组和命令策略
- “陆基”,“陆基”,“陆基”johnd、mariar和Michaelb。
- 使用配置用户组中描述的过程创建用户组经理和SysOps,然后将用户mariar和michaelb绑定到SysOps组,并将用户Johnd绑定到经理组。
使用创建自定义命令策略中描述的过程创建以下命令策略:
- read_all,操作为允许,命令规范为
”(^ \ s +(? !系统)(? !ns ns.conf) (? !ns runningConfig)。*)| (^ stat。*)” - modify_lb,操作为允许,命令规范为
“^ \ s +磅\ s + . * $” - “
“^ \ S + \ S +(? !系统)。*”
- read_all,操作为允许,命令规范为
- 【英文翻译】命令策略绑定到用户和组“我很高兴见到你。read_all命令策略绑定到SYSOP组,优先级值为1。
- 【英文翻译】命令策略绑定到用户和组“我很高兴见到你。modify_lb命令策略绑定到用户michaelb,优先级值为5。
您刚刚创建的配置结果如下:
- 它经理John Doe拥有对整个Citrix ADC配置的只读访问权限,但他无法进行修改。
- 它领导人玛丽亚拉米雷斯几乎可以完全访问Citrix ADC配置的所有区域,只需登录才能执行Citrix ADC级命令。
- 负责负载平衡的这管理员迈克尔Baldrock拥有对Citrix ADC配置的只读访问权限,并且可以修改负载平衡的配置选项。
适用于特定用户的命令策略集是直接应用于用户帐户的命令策略和应用于该用户所属的一个或多个组的命令策略的组合。
每次用户输入命令时,操作系统都会搜索该用户的命令策略,直到找到具有与该命令匹配的“允许”或“拒绝“操作的策略。当找到匹配项时,操作系统将停止其命令策略搜索,并允许或拒绝对命令的访问。
如果操作系统未找到匹配的命令策略,则根据Citrix ADC设备的默认拒绝策略,将拒绝用户访问该命令。
注意: 将用户放入多个组时,请注意不要导致意外的用户命令限制或权限。“Citrix ADC”、“Citrix ADC”、“Citrix ADC”、“Citrix ADC”。